Se débarrasser de Personal Shield Pro

pharaon -  
 Utilisateur anonyme -
Bonjour à tous,

Cela fait plusieurs semaine que Personal Shield Pro se lance intempestivement sur mon ordinateur, et bloque tous mes programmes.

J'ai tenté dans un premier temps de suivre les conseils donnés à d'autres internautes confrontés au même problème, mais cela n'est sans doute pas adapté à mon cas précis et le virus revient toujours.

La "solution" temporaire que j'ai trouvée est de lancer Malwarebytes en mode sans échec (il trouve toujours quelque chose à supprimer).
Mais cela ne me laisse que quelques heures à quelques jours de répit... avant que Personal Shield Pro ne revienne bloquer mon ordi.

Impossible de m'en débarrasser !

Novice en informatique, je fais donc appel à vos bons conseils.
Ce serait vraiment très très sympa si une personne éclairée avait la gentillesse de m'indiquer une procédure à suivre...

Un très grand merci d'avance : )

15 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    * Télécharger sur le bureau RogueKiller
    * Quitter tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 1 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
    3
  2. pharaon
     
    Merci beaucoup pour cette réponse rapide.

    Le rapport :

    RogueKiller V5.2.9 [31/07/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Aliwood [Droits d'admin]
    Mode: Recherche -- Date : 31/07/2011 23:01:03

    Processus malicieux: 0

    Entrees de registre: 2
    [SUSP PATH] HKCU\[...]\RunOnce : oO02300NnGeE02300 (C:\Documents and Settings\All Users\Application Data\oO02300NnGeE02300\oO02300NnGeE02300.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-1666756639-661162220-2619381876-1005[...]\RunOnce : oO02300NnGeE02300 (C:\Documents and Settings\All Users\Application Data\oO02300NnGeE02300\oO02300NnGeE02300.exe) -> FOUND

    Fichier HOSTS:
    ÿþ1

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. Utilisateur anonyme
     
    1/
    * Quitter tous les programmes en cours
    * lancer sRogueKiller.exe
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Lorsque demandé, taper 2 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    2/
    Refais la méme chose mais cette fois choisis l'option 3

    3/
    * Télécharge et installe : Malwarebyte's Anti-Malware
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer, clique sur Yes
    * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
    * Si tu as besoin d'aide regarde ce tutorial
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  4. pharaon
     
    Rapport Rogue Killer après option 2 :

    RogueKiller V5.2.9 [31/07/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Aliwood [Droits d'admin]
    Mode: Suppression -- Date : 31/07/2011 23:08:50

    Processus malicieux: 0

    Entrees de registre: 1
    [SUSP PATH] HKCU\[...]\RunOnce : oO02300NnGeE02300 (C:\Documents and Settings\All Users\Application Data\oO02300NnGeE02300\oO02300NnGeE02300.exe) -> DELETED

    Fichier HOSTS:
    ÿþ1

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pharaon
     
    Rogue Killer après option 3 :

    RogueKiller V5.2.9 [31/07/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Aliwood [Droits d'admin]
    Mode: HOSTS RAZ -- Date : 31/07/2011 23:09:34

    Processus malicieux: 0

    Fichier HOSTS:
    ÿþ1

    Nouveau fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  7. pharaon
     
    Rapport Malwarebytes :

    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7341

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 7.0.5730.13

    31/07/2011 23:29:02
    mbam-log-2011-07-31 (23-29-02).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 217578
    Temps écoulé: 16 minute(s), 59 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\oo02300nngee02300\oo02300nngee02300.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\Aliwood\Bureau\rk_quarantine\oo02300nngee02300.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{07711481-a078-4ca4-95bc-bc8c0b5a1f2e}\RP289\A0092415.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\common.data (Malware.Trace) -> Quarantined and deleted successfully.
    0
  8. Utilisateur anonyme
     
    On va faire une analyse de ton systéme.

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag
    ou
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  9. pharaon
     
    Bonsoir,

    Tout d'abord, merci beaucoup de prendre le temps de m'aider, c'est vraiment sympa.

    Alors, j'ai démarré mon ordinateur en mode sans échec avec prise en charge réseau pour faire la manip' demandée, et là, impossible de me connecter à internet. J'ai un message de "plantage" quand je lance IE ou Firefox (je me connecte en ce moment d'une autre machine).

    J'ai tout de même réussi à lancer outlook, qui lui fonctionnait (donc était bien connecté à internet). J'ai pu téléchargé ZHPDiag en passant par le raccourci donné dans l'e-mail (et là ça a bien ouvert internet via IE... Bref).

    Mais ensuite, impossible de finaliser le scan : j'arrive à lancer le diagnostic, qui se déroule jusqu'à la fin, puis quand je clique sur l'icône disquette pour enregistrer le rapport, plus rien ne se passe, et l'ordi se fige complètement au bout de quelques minutes.

    J'ai essayé plusieurs fois, en mode sans échec avec prise en charge réseau et en mode sans échec simple, mais toujours pareil... Et toujours pas d'internet en passant par les icones IE ou Firefox (en mode réseau, bien sûr).

    Je ne sais plus trop quoi faire là...
    0
  10. Utilisateur anonyme
     
    Ton problème de connexion est bizarroïde.

    Télécharge combo avec le pc qui fonctionne et transfert le programme sur le pc malade a l'aide d'une clé usb

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra.
    * Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : Tuto Combofix
    0
  11. pharaon
     
    Bonjour nanard, et merci encore.

    J'ai remarqué que depuis que j'ai le fameux problème de connexion, un message s'affiche directement quand j'ouvre ma session (je n'ouvre plus qu'en mode sans échec car en mode normal, Personal Shield Pro m'interdit toute manipulation).
    Ca donne quelque chose du genre :

    "Il existe un ficher nommé « C:\Program » sur votre ordinateur pouvant être à l'origine de dysfonctionnements pour certaines applications."

    Et ça me propose de le renommer en Program1.

    Sinon, je ne sais pas si cette info a son importance ou pas, mais Personal Shield Pro se lance maintenant aussi en mode sans échec.

    Quant à Combo Fix, ça ne marche pas non plus...
    Quand j'accepte d'installer la console de récupération, j'ai un message d'erreur (je ne l'ai malheureusement pas noté, je me souviens juste que ça parle du boot). Ensuite la recherche se lance quand même, mais reste bloquée sur "Recherche de fichiers infectés".
    A un moment, le curseur clignotant sur la dernière ligne se fige, et plus rien ne se passe (sans que je n'aie touché à la souris ou au clavier, je précise).
    Et ça reste comme cela. Aucune autre ligne ne s'affiche après "Le temps d'analyse...peut facilement doubler", si ce n'est ce curseur bloqué.

    Grrr c'est à s'arracher les cheveux !
    0
  12. Utilisateur anonyme
     
    Ok

    relances rogue killer passe les mode 2 et 4 direct.(Renommer le programme en winlogon s'il est bloqué)
    Ensuite et sans redémarrage du pc lances un scan complet de malwarebytes.Penses a poster les rapports au fur et a mesure.
    0
  13. pharaon
     
    Merci nanard.

    Rapport RK mode 2 :

    RogueKiller V5.2.9 [31/07/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Aliwood [Droits d'admin]
    Mode: Suppression -- Date : 02/08/2011 17:14:34

    Processus malicieux: 0

    Entrees de registre: 1
    [SUSP PATH] HKCU\[...]\RunOnce : iI02300NlHnE02300 (C:\Documents and Settings\All Users\Application Data\iI02300NlHnE02300\iI02300NlHnE02300.exe) -> DELETED

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[6].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
    RKreport[6].txt

    Deuxième rapport mode 4 :

    RogueKiller V5.2.9 [31/07/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Aliwood [Droits d'admin]
    Mode: Proxy RAZ -- Date : 02/08/2011 17:14:57

    Processus malicieux: 0

    Entrees de registre: 0

    Termine : << RKreport[7].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
    RKreport[6].txt ; RKreport[7].txt

    Le rapport Malwarebyte suit, je lance l'analyse.
    0
  14. pharaon
     
    Voilà :

    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7341

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 7.0.5730.13

    02/08/2011 17:37:51
    mbam-log-2011-08-02 (17-37-51).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 217644
    Temps écoulé: 17 minute(s), 24 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\ii02300nlhne02300\ii02300nlhne02300.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\Aliwood\Bureau\rk_quarantine\ii02300nlhne02300.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\krnlnlpa.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{07711481-a078-4ca4-95bc-bc8c0b5a1f2e}\RP289\A0092423.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{07711481-a078-4ca4-95bc-bc8c0b5a1f2e}\RP289\A0096437.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\common.data (Malware.Trace) -> Quarantined and deleted successfully.
    0
  15. Utilisateur anonyme
     
    sa va mieux??
    0
    1. pharaon
       
      Internet remarche ! En tout cas en mode sans échec, j'ai pas osé le démarrage normal.
      Je retente une des analyses précédemment conseillées (ZHPDiag, ComboFix,...) ?
      0
    2. Utilisateur anonyme
       
      Fais un test en mode normal
      0
    3. pharaon
       
      Personal Shield Pro toujours là... : (
      0
  16. Utilisateur anonyme
     
    On va essayer autre chose.C'est mon honneur qui est en jeu :)

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ? Clique sur Parcourir et cherche le fichier ci-dessus.

    ? Clique sur Ouvrir.

    ? Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ? Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
    1. pharaon
       
      Bon alors Pre-Scan bloque aussi... Je ne sais pas si ce délai est normal, mais là ça fait plus d'une heure que le scan est arrêté sur "Contrôle des Services | Drivers".
      Une fenêtre noire s'est ouverte en arrière-plan intitulée C:\Kill'em\MBRCheck

      J'ai effectivement un raccourci MBRCheck sur le bureau, je ne sais pas d'où il sort.

      Je retenterai le coup plus tard, là je dois déconnecter et ne pourrai revenir que ce week-end.

      En tous les cas, un grand merci pour ton implication : )
      0
    2. Utilisateur anonyme
       
      j'attends de tes nouvelles ce WE.......
      0